Ondrej Holzman Na początku września Apple rozwiązał bardzo nieprzyjemny problem z wyciekiem wrażliwych zdjęć z kont iCloud znanych osobistości. Nie był chociaż usługa jako taka jest zepsuta, Apple udawało się uniknąć luki w postaci możliwości wprowadzenia hasła nieskończoną liczbę razy. Wystarczy posłuchać londyńskiego eksperta ds. bezpieczeństwa Ibrahima Balicia.
Balic, londyński badacz bezpieczeństwa, poinformował Apple o potencjalnym problemie na długo przed tym, zanim hakerzy faktycznie odkryli słabość iCloud skorzystali. Pakowacz według „The Daily Dot”. Apple poinformował o tym już w marcu i szczegółowo opisał problem bezpieczeństwa w swoim e-mailu.
W e-mailu z 26 marca skierowanym do pracowników Apple Balic napisał:
Znalazłem nowy problem związany z kontami Apple. Stosując atak brute-force, mogę spróbować ponad dwadzieścia tysięcy razy wprowadzić hasła na dowolnym koncie. Uważam, że należy tu zastosować pewne ograniczenie. Załączam zrzut ekranu. Znalazłem ten sam problem w Google i otrzymałem od nich odpowiedź.
To właśnie wpisując hasła w nieskończoność, dzięki temu hakerzy w końcu odnaleźli hasła znanych osobistości, najwyraźniej włamywali się na konta iCloud. Pracownik Apple odpowiedział Balicowi, że zna tę informację i podziękował mu za nią. Oprócz poczty elektronicznej Balic zgłosił problem również poprzez specjalną stronę poświęconą zgłaszaniu błędów.
Firma Apple w końcu odpowiedziała w maju, pisząc do Balic: „Z podanych informacji wynika, że znalezienie działającego tokena uwierzytelniającego dla konta zajęłoby niezwykle dużo czasu. Czy sądzisz, że znasz metodę, która umożliwiłaby dostęp do konta w rozsądnym czasie?
Inżynier bezpieczeństwa Apple, Brandon, najwyraźniej nie potraktował odkrycia Balica jako większego zagrożenia. „Uważam, że nie rozwiązali całkowicie problemu. Powtarzali mi, żebym pokazał im więcej” – powiedział Balic.
Ciekawe, że po zepsuciu da się go naprawić raz czy dwa.
W Apple są po prostu zarozumiali ludzie, którzy myślą, że są kimś więcej niż inni.
Przede wszystkim więc osoba ustalająca hasło 12345 jest głupia. Apple blokuje konto po ponownym wpisaniu błędnego hasła, co oznacza, że nadal jest ono wylogowywane.
Nie minęło dużo czasu, odkąd pewien bank (chyba FIO) miał podobny problem. Login klienta był ciągiem cyfr, a po trzecim wpisaniu hasła konto zostało zablokowane i klient musiał udać się do banku w celu jego zresetowania. No i co się nie stało? Ktoś właśnie sprawdził numery i zablokował konta wszystkich.
Coś podobnego może spotkać Apple. Ktoś okaże mu wiele szacunku i zablokuje go. Jak denerwujące jest resetowanie hasła iCloud?
IMO jest to funkcja chroniąca idiotów, po prostu denerwuje innych.
Moim zdaniem są 2 rozsądne rozwiązania:
1. nie zezwalaj użytkownikom na używanie prostych haseł i pozostawiaj nieskończoną liczbę prób wejścia.
2. po x-tym wpisaniu błędnego hasła zaproponuj użytkownikowi autoryzację przez telefon komórkowy, e-mail, reset hasła iCloud LUB poczekaj x godzin do kolejnej próby i w związku z tym ostrzeż użytkownika oraz Apple o kilku błędnych wprowadzone hasła.
Zdecydowanie nie było w porządku zostawiać wszystko tak, aby użytkownicy mogli używać prostych haseł i pozwalać na nieskończoną liczbę prób ich wprowadzenia. Oczywiste jest, że winni są sami ludzie, ale firma musi zaakceptować fakt, że ludzie są głupi.
Bezpieczeństwo było naprawdę na bardzo słabym poziomie. Tak jak trzeba chronić się przed hakerami, bo ktoś zawsze może zaatakować, tak też trzeba chronić się przed głupimi użytkownikami, bo tacy zawsze się znajdą.
Na przykład drugie rozwiązanie doprowadziłoby do tego, że gdyby ktoś wypróbował hasła i zablokował konta, jego usługi przestałyby działać dla dotkniętych użytkowników. Brak synchronizacji z iCloud. Czy myślisz, że to jest lepsze? Dla tak dużych systemów praktycznie nie ma rozwiązania idealnego, a jedynie najmniej problematyczne.
Apple ma nosa do góry i skupia się wyłącznie na iMoney.
Tutaj dla odmiany mam zamiar naprawić bash.
Gdyby Jobs miał możliwość powrotu do świata, pierwszą rzeczą, jaką by zrobił, to zwolnił przynajmniej połowę kierownictwa Apple, prawdopodobnie w tym zarządzie nie byłoby już w ogóle nikogo, bo to, co ta dziewczyna robi w ta firma, to już naprawdę szczyt, i jak mówię, nawet taki człowiek jak Jobs bardzo się tam mylił :-( Jobs już raz w życiu został wyrzucony z Apple i wyszło naprawdę źle, a kiedy wrócił, Apple znowu zadziałało, ale niestety już nie wrócą, to naprawdę wina osoby, która stanie nad nimi i będzie ich bić po głowie i skaleczyć ręce